Cisco AAA 服务器

1、AAA是什么？
authentication 识别用户 WHO
authorization 由一系列的属性限定用户能够有什么权利
accounting 统计用户在什么时间，什么地方做什么
2、为什么要用3A
1、跟NAS的数量（互联网接入点）
2、跟人数有关
3、跟人员变动的频率
可扩展性，标准性的协议备份系统（METHORD LISTS）
3、3A的基本协议 Client—–nas—–AAA

———————————
启用 aaa new-model
在show run
   line vty 0 4
      NO LOGIN （没有了）

r1(config)#aaa new-model
r1(config)#aaa authentication login FOR_CON none
r1(config)#line con 0
r1(config-line)#login authentication FOR_CON
CONSOLE 口不需要验证

r1(config)#aaa authentication login FOR_VTY none
r1(config)#line vty 0 4
r1(config-line)#login authentication FOR_VTY
当R2 TELNET 不需要验证，但要在3A里面授权
r1(config)#aaa authentication login FOR_VTY local
r1(config)#line vty 0 4
r1(config-line)#login authentication FOR_VTY
当R2 TELNET的时候 需要输入R1的USER、PASS （用户名不区分大小写）
r1(config)# aaa authentication login FOR_VTY local-case
r1(config)#line vty 0 4
r1(config-line)#login authentication FOR_VTY
当R2 TELNET的时候 需要输入R1的USER、PASS （用户名区分大小写）
r1(config)#enable password ccie
r1(config)#aaa authentication login FOR_VTY enable
r1(config)#line vty 0 4
r1(config-line)#login authentication FOR_VTY
当R2 TELNET的时候 需要输入R1的enable 密码
r1(config)#aaa authentication login FOR_VTY line
r1(config)#line vty 0 4
r1(config-line)#login authentication FOR_VTY
假设R1没有设置密码
当R2 TELNET 的时候 出现
r2#telnet 12.12.12.1
Trying 12.12.12.2 … Open
% Authentication failed
% Authentication failed
% Authentication failed
假设已经在LINE下设置了密码
[Connection to 12.12.12.2 closed by foreign host]
r1#telnet 12.12.12.2
Trying 12.12.12.2 … Open
User Access Verification
Password:
r2>
可以正常 TELNET
————————–
1、网管
2、穿越 AUTH-PROCY
3、拨入
TACAS+ 与 RADIUS的区别
                 TACAS                    DADIUS
            separater AAA           authentication and authorization
transport   tcp 49                 udp   old 1645 authen/authori
protocol                                     1646 accouning
                                         new 1812 authen/authori
                                             1813 accouning
CHAP        Bidirectional                 Undirectional
PROTOCOL     Multiprotocol               NO ARA
SURPORT         support                  NO NETBFUZ
encry        encry packet encry          password encry
accounting       imited                   extensive
————————-
802.1x (TACAS 支持)
———————————-
定义服务器
r1(config)#aaa new-model
r1(config)#aaa authentication login FOR_VTY group tacacs+
r1#test aaa group tacas+ test1 cisco new-code
当看到SUCCESS 才向下做
SUCCESS 说明3A服务器正常
证明 use pass 在3A里面 （test1 cisco）
用到GROUP 说明在使用3A服务器
RADIUS 一样做法
———————–
授权
r1(config)#aaa authorization commands 0 FOR_VTY group tacacs+
r1(config)#line VTY 0 4
r1(config-line)#authorization commands 0 FOR_VTY
授权0级，最低级，什么也不能用，不要用在console口上
r1(config)#aaa authorization commands 15 FOR_VTY group tacacs+
授权15级
r1(config)#aaa authorization config-commands
可以用 conf t
审计
r1(config)#aaa accounting exec default none 全部启用
r1(config)#aaa accounting exec WORD （起个名字，需要调用）